Аутентификация по сертификатам в чужом домене пытается выполняться с явным указанием domain\username. User hint не спасает. Как обойти?

Question

[Максим Гришин]

Имеется домен, в нем настроена PKI, выдающая сертификаты на смарт-карты с UPN'ами. Имеется совершенно отдельный домен, в котором нужно настроить аутентификацию по сертификатам на смарт-картах, выпущенным PKI. Настроил по инструкции https://support.microsoft.com/en-us/help/281245/gu... расценивая настроенную PKI как third-party. При попытке доступа через RDP-клиент получаю отлуп "неверное имя пользователя или пароль", в логах сервера авторизация с указанием домена в явном виде, при этом домен тот, где PKI, а не тот, где сервер. Настроил на клиенте user hint, забиваю туда remote\user от того пользователя, которому привязан сертификат, получаю ошибку "пользователь не найден" на клиенте с разрывом соединения, при этом сервер рапортует об успешной авторизации. Как можно обойти такое поведение? Отключение NLA на удаленном сервере не предлагать, так как иначе заддосят, сервер смотрит в интернет практически без защиты. По-другому не сделать, нету денег. Можно ли настроить полноценный third party CA типа standalone, чтобы выдавал сертификаты с явно указанным UPN, при этом RDP-клиент не пытался валидировать подсунутый сертификат сам, а сразу передавал его на сервер?

Answer 1

[Николай Корабельников]

Написано очень запутано. Не важно в каком домене PKI. По сути у вас есть просто PKI, он должен выдавать сертификаты пользователям домена domain1.ru с CN=user@domain1.ru и, например, для пользователей domain2.ru с CN=user@domain2.ru.
Инструкция по организации аутентификации у вас верная, там все описано:
1. Помещаете сертификат УЦ в NTAuth
2. Делаете сертификаты для контроллеров домена
Если сделаете все по шагам, то работать должно.

Если же вы хотите заходить по сертификатам user@domain1.ru в компьютеры из domain2.ru, то тут могут быть проблемы.

Comments

[Максим Гришин]

Да, хочу ходить по сертификатам user@domain1.ru в домен domain2. Для этого добавил в domain2 суффикс domain1.ru, присвоил его учеткам, от которых получил сертификаты на смарт-карту, привесил на них сертификаты УЦ, и вроде как этого достаточно. Вот и интересует, где косяк, если отдельно по сертификату авторизация выполняется, если подсунуть user hint.

[Николай Корабельников]

Почему бы вам не выпускать 2 сертификата для каждого пользователя(user@domain1, user@domain2)? Тогда шаманства с контроллерами доменов можно избежать.

[Максим Гришин]

Смарт-карта не резиновая :) а доменов в планах десяток. Поэтому хотим реализовать принцип одного сертификата для всех доменов.

[Николай Корабельников]

Статья, приведенная вами как интсрукция, по которой вы все настраивали указывает, что вам надо создавать сертификаты для пользователей, в которых указывать UPN. В вашем случае пользователь user@domain2 предоставляет контроллеру домена domain2 сертификат пользователя user@domain1. По идее контроллер домена должен отказать во входе.
Попробуйте добавить сертификат пользователя user@domain1 сюда:

[Максим Гришин]

Николай Корабельников: Он там есть, кстати. Я с чего начал - если прописать user hint, авторизация проходит, согласно логам контроллера домена. Связь рвет NLA на стороне RDP-клиента, который зачем-то пытается проверить user hint вида domain2\user на стороне домена domain1. Вот это хочу оторвать, желательно с мясом.

[Николай Корабельников]

Максим Гришин: А локально аутентификация в соседнем домене на данный момент проходит успешно?

[Максим Гришин]

Николай Корабельников: Проверить нечем. Домен у клиента, мало того, свежеподнятый, и в нем есть сейчас только ВМ-контроллер, с которым и пытаюсь наладить связь. Когда туда наконец-то дадут выезд по какой-либо задаче, буду пробовать, ожидаю, кстати, успех аутентификации. Во всяком случае локальная команда certutil verify на сертификат выдает успех построения цепочки доверия. Раньше такая схема у меня уже работала, но домен domain1 был 2003м.